Tipps

OpenSSL-Bug

Unter dem Namen “Heartbleed” ist in der Nacht von Montag zu Dienstag dieser Woche ein Fehler in der freien Software “OpenSSL” bekannt geworden, der sehr weitreichende Folgen für alle Internet-Nutzer hat. Heise Online schreibt dazu:

Die weit verbreitete Krypto-Bibliothek OpenSSL enthielt einen Programmierfehler, der es erlaubte, von betroffenen Systemen geheime Schlüssel, Passwörter und andere Daten auszulesen. Krypto-Guru Bruce Schneier stuft den Fehler als “Katastrophe” ein: “Auf einer Skala von 0 bis 10 ist das eine 11”.

Betroffen sind zahlreiche Dienste im Internet, die diese Software einsetzen – von Facebook, über Dropbox bis zu Yahoo und Google. Aktuelle Informationen und eine umfangreiche Erklärung des Fehlers finden Sie unter http://www.heise.de/thema/Heartbleed. Eine aktuelle Liste großer betroffener Dienste finden Sie hier.

Wie sind Variomedia-Kunden betroffen?

Es gibt zwei Ebenen, auf denen SSL und der Heartbleed-Bug bei uns eine Rolle spielen:

Kunden, die ein eigenes SSL-Zertifikat für die verschlüsselte Datenübertragung (z.B. für ihrem Online-Shop) nutzen sind bis auf sehr wenige Ausnahmen (<1%) nicht betroffen, da wir hier eine OpenSSL-Version einsetzen, die den Fehler nicht enthält.
Betroffen sind allerdings alle Nutzer unserer eigenen Dienste, wie des Webmails, des Kundenmenüs, DynDNS und aller weiteren Dienste, die unter variomedia.de und securehost.de angeboten werden.

Es gibt im Moment keine Hinweise darauf, dass der OpenSSL-Fehler ausgenutzt wurde und Daten unserer Kunden missbraucht wurden – eine endgültige Sicherheit gibt es diesbezüglich jedoch nicht. Wir haben wenige Minuten nach Bekanntwerden des Bugs ein Update auf allen Servern eingespielt, das den Fehler behebt. In den letzten Tagen wurden außerdem alle SSL-Zertifikate ausgetauscht, deren Schlüssel potentiell kompromittiert gewesen sein könnten.

Was ist zu tun?

Wir empfehlen dennoch allen Kunden, alle Passwörter zu ändern, d.h. insbesondere Passwörter für:

Kundenmenü
E-Mail-Postfächer

Nicht unmittelbar betroffen sind folgende Dienste, bei denen wir dennoch die Änderung von Passwörtern empfehlen:

FTP/SFTP/SSH
MySQL (Bitte beachten Sie, dass bei einer Änderung des MySQL-Passworts auch Änderungen in Ihren Scripten erforderlich sind.)
DynDNS (Bitte ändern Sie die Zugangsdaten auch in Ihren Routern/DynDNS-Scripten.)

Es ist eine gute Gelegenheit, wirklich sichere Passwörter zu vergeben. Hilfreiche Tipps dazu finden Sie auf den Seiten des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Für Fragen stehen Ihnen wir Ihnen gerne zur Verfügung!

Justus Pilgrim

Next Verzicht auf Papierrechnung beim Rechnungsversand »

Previous « 14 neue Domainendungen - und viele weitere folgen!

View Comments

Peter Weilbacher says:

11. April 2014 at 16:05

Ich bekomme auf config.variomedia.de und webmail.variomedia.de immer noch ein altes Zertifikat geliefert (vom 23.08.2012). Dann bringt es momentan wohl auch noch nichts, darüber die Paßwörter zu ändern, oder?
- jp says:
  
  11. April 2014 at 16:32
  
  Das Zertifikat wurde ausgetauscht, behält aber weiterhin die alten Laufzeiten.
NB says:

11. April 2014 at 16:45

Wäre es möglich, die Längenbeschränkung für E-Mailkontenpasswörter aufzuheben?
- Justus Pilgrim says:
  
  11. April 2014 at 16:52
  
  Leider nicht - im Moment sind 64 Zeichen erlaubt, was für ein sicheres Passwort tatsächlich ausreichen sollte.
NB says:

11. April 2014 at 17:00

Das ist in der Tat ausreichend. Woran kann es dann wohl liegen, dass ich momentan nur den Fehler „Bitte geben Sie ein Passwort ein!“ zurückbekomme? (Bei kürzeren Passwörtern gab es gerade keine Fehler, aber die Änderung scheint auch nicht wirksam geworden zu sein).
- Justus Pilgrim says:
  
  11. April 2014 at 17:37
  
  Bitte nutzen Sie vor oder nach der Passwort-Eingabe nicht die Funktion zur Ansicht des Passworts im Klartext, sondern geben Sie das Passwort "blind" ein.
NB says:

11. April 2014 at 17:06

OK, über my.variomedia.de/mail/ scheint es zu funktionieren, aber nicht über die Domainkonfiguration...
NB says:

11. April 2014 at 20:36

Danke.